Přidání vícefaktorového ověřování (MFA) do aplikace

V Microsoft Entra Externí ID externím tenantovi můžete přidat vrstvu zabezpečení do aplikací určených pro spotřebitele a firemní zákazníky tím, že vynucujete vícefaktorové ověřování (MFA). S vícefaktorovým ověřováním musí uživatel pokaždé, když se uživatel přihlásí, zadat e-mail s jednorázovým heslem. Tento článek popisuje, jak vynutit vícefaktorové ověřování pro zákazníky vytvořením zásad podmíněného přístupu Microsoft Entra a přidáním vícefaktorového ověřování do toku uživatelů pro registraci a přihlášení.

Důležité

Pokud chcete povolit vícefaktorové ověřování, nastavte metodu ověřování místního účtu na e-mail s heslem. Pokud nastavíte možnost místního účtu na E-mail s jednorázovým heslem, zákazníci, kteří tuto metodu používají, se nebudou moct přihlásit, protože jednorázové heslo je už jejich metoda prvního přihlášení a nedá se použít jako druhý faktor. Jednorázové heslo je v současné době jedinou metodou dostupnou pro vícefaktorové ověřování v externích tenantech.

Tip

Pokud si chcete tuto funkci vyzkoušet, přejděte na ukázku potravin Woodgrove a spusťte případ použití vícefaktorového ověřování.

Požadavky

• Externí tenant Microsoft Entra (pokud tenanta nemáte, můžete spustit bezplatnou zkušební verzi.
• Tok uživatele pro registraci a přihlášení s použitím metody ověřování místního účtu nastavený na e-mail s heslem.
• Aplikace zaregistrovaná ve vašem externím tenantovi, přidaná do toku uživatele pro registraci a přihlášení a aktualizovaná tak, aby odkazovala na tok uživatele pro ověření.
• Účet s alespoň rolí Security Správa istrator ke konfiguraci zásad podmíněného přístupu a vícefaktorového ověřování.

Vytvořte zásady podmíněného přístupu

Vytvořte ve svém externím tenantovi zásadu podmíněného přístupu, která uživatele vyzve k vícefaktorové ověřování při registraci nebo přihlášení k aplikaci. (Další informace najdete v tématu Běžné zásady podmíněného přístupu: Vyžadovat vícefaktorové ověřování pro všechny uživatele

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.

2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

3. Přejděte do služby Identity>Protection>Security Center.

4. Vyberte Zásady podmíněného přístupu>a pak vyberte Nové zásady.

   

5. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

6. V části Přiřazení vyberte odkaz v části Uživatelé.

   a. Na kartě Zahrnout vyberte Všichni uživatelé.

   b. Na kartě Vyloučit vyberte Uživatelé a skupiny a zvolte účty tísňového volání nebo účty pro tísňové volání vaší organizace.

   

7. Vyberte odkaz v části Cloudové aplikace nebo akce.

   a. Na kartě Zahrnout zvolte jednu z následujících možností:

   • Zvolte Všechny cloudové aplikace.

   • Zvolte Vybrat aplikace a vyberte odkaz v části Vybrat. Najděte aplikaci, vyberte ji a pak zvolte Vybrat.

   b. V části Vyloučit vyberte všechny aplikace, které nevyžadují vícefaktorové ověřování.

   

8. V části Řízení přístupu vyberte odkaz v části Udělení. Vyberte Udělit přístup, vyberte Vyžadovat vícefaktorové ověřování a pak zvolte Vybrat.

   

9. Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.

10. Pokud chcete zásadu povolit, vyberte Vytvořit .

Povolení jednorázového hesla e-mailu jako metody MFA

Povolte metodu ověřování jednorázovým heslem e-mailu ve vašem externím tenantovi pro všechny uživatele.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.

2. Přejděte k metodám ověřování identity>Protection.>

3. V seznamu Metod vyberte E-mailové jednorázové heslo.

   

4. V části Povolit a Cíl zapněte přepínač Povolit .

5. V části Zahrnout vedle cíle vyberte Všechny uživatele.

   

6. Zvolte Uložit.

Otestování přihlášení

V privátním prohlížeči otevřete aplikaci a vyberte Přihlásit se. Měli byste být vyzváni k zadání jiné metody ověřování.